Don P: wie Domainübergreifend Daten austauschen ?

Beitrag lesen

SELF-Forum

wie Domainübergreifend Daten austauschen ?

Don P
Informationen zu den Bewertungsregeln

Hallo,

Dann muss man sagen, dass du nicht wirklich nachgedacht hast, wo hier das Problem liegt und wer die Verantwortung für was trägt.

Doch, habe ich.

Es ist genauso wie du es sagst. Das Einbinden von einer fremden Domain wird ausgenutzt, das Stichwort XSS hatte ich dir ja schon genannt. Von daher wäre es sinnvoll zu überlegen diese Sache einzuschränken, dann würden aber vermutlich Leute wie du aufschreien, wie bei der Einschränkung des Fileupload Feldes.

*Ich* würde nicht aufschreien.

Wobei aber die Verantwortlichkeit für den Bug jeweils woanders liegt.

Ein XSS Exploit ist ein Mangel in der Serversoftware, die Verantwortung liegt hier also in der Hand des Entwicklers. Der Fehler ist nicht im Browser, da es von vielen Entwicklern gewünscht wird, JS von einer fremden Domain einzubinden zu dürfen, wird diese Sache nicht eingeschränkt.

Verstehe: Weil es von Entwicklern gewünscht wird, wird also zugelassen, dass die z.B. auch XSS-Exploits programmieren können, von denen der Benutzer nichts merkt. Und das ist natürlich kein Fehler im Browser.
Wenn Google morgen beschließt, die Leute noch mehr auszuspionieren als sie es m.M.n. ohnehin schon tun, dann fühlt sich kein Browserhersteller zuständig, einen Schutz dagegen einzubauen. Es gibt ja kaum noch Seiten im Netz, wo solche externen Scripts nicht eingebunden sind.

Bei dem Fileupload ist genau umgekehrt, wenn diese funktionalität ausgenutzt werden könnte, wäre es ein Fehler im Browser und er würde zu recht als Mangelhaft bezeichnet werden.

Es ging ja nie darum, dass das ausnutzbar werden soll, sondern nur darum, das viele Entwickler wie z.B. ich gern mehr Formatierungsmöglichkeiten für solche Felder hätten und vielleicht ein Filedialog auch mal mer JS geöffnet werden kann, so dass der Benutzer (nach seiner Zustimmung!) eine Datei aus seinem System zum Upload oder einen Ordner zum Download wählen kann.

Verstehe also: Wenn man dem Benutzer eine Möglichkeit geben will einzugreifen, dann muss man ihn vor sich selbst schützen, weil er u.U. zu blöd ist, etwas zu entscheiden. Dafür ist der Browser dann wieder zuständig.

Was für eine Logik ist das, und was für ein Verständnis von Sicherheit bzw. von Privatsphäre?

Gruß, Don P

Beitrag melden
Informationen zu den Bewertungsregeln
0 32

wie Domainübergreifend Daten austauschen ?

Hans
  • javascript
  1. 0
    Struppi
    1. 0
      suit
      1. 0
        Struppi
      2. 0
        Tom
      3. 0
        Struppi
        1. 0
          suit
      4. 0
        hans
        1. 0
          suit
          1. 0
            hans
            1. 0
              suit
            2. 0
              ChrisB
              1. 0
                Don P
                1. 0
                  ChrisB
                  1. 0
                    Don P
                    1. 0
                      ChrisB
                    2. 0
                      Pragma
                      1. 0
                        Don P
                    3. 0
                      Struppi
                  2. 0
                    Don P
                    1. 0
                      ChrisB
                      1. 0
                        Don P
                        1. 0
                          ChrisB
                        2. 0
                          hans
                          1. 0
                            Struppi
                            1. 0
                              hans
                        3. 0
                          Struppi
                          1. 0
                            Don P
                            1. 0
                              ChrisB
                              1. 0
                                Don P
        2. 0
          Struppi
      5. 0
        Cheatah